#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый бэкдор PowerShell, связанный с группой Storm-1811, использует фишинговую кампанию с помощью Microsoft Teams, используя для обеспечения сохраняемости перехват COM-кода TypeLib. Вредоносная программа маскирует свое выполнение с помощью JScript и PowerShell, что усложняет обнаружение. Чтобы противостоять таким угрозам, организации должны ограничить внешние коммуникации, внедрить белый список и улучшить параметры безопасности.
-----

Недавние расследования кибератаки выявили появление нового бэкдора PowerShell, связанного с фишинговой кампанией в Microsoft Teams. Цепочка атак, восходящая к хакерской группе Storm-1811, известной внедрением программы-вымогателя Black Basta, включала в себя сложные методы сохранения и новые вредоносные программы, что указывает на эволюцию или возможный раскол внутри группы. Кампания была нацелена в первую очередь на высокопоставленных сотрудников в таких секторах, как финансы и научные услуги, и использовала методы социальной инженерии, которые обходили традиционную защиту электронной почты.

Атака была инициирована с помощью фишинговых сообщений, замаскированных под запросы в ИТ-службу поддержки, отправленные через Microsoft Teams. Получение доступа через эту надежную платформу позволило злоумышленникам использовать законные инструменты Windows, такие как "Quick Assist", для удаленных сеансов. Критически важным для их стратегии был ранее не сообщавшийся метод персистентности, связанный с перехватом COM-кода TypeLib, который изменяет параметры системного реестра для выполнения сценариев с удаленного URL-адреса при доступе к определенным COM-объектам. Этот механизм позволял непрерывно загружать и запускать вредоносные программы, размещенные на таких платформах, как Google Drive.

Недавно обнаруженная вредоносная программа использует комбинацию JScript и PowerShell, которые выполняются скрытым образом. Код JScript отвечает за написание и выполнение команд PowerShell без привлечения внимания пользователей. Затем бэкдор PowerShell устанавливает канал управления (C2), который включает серийный номер жесткого диска скомпрометированного устройства, что еще больше усложняет усилия по обнаружению из-за его запутанного характера и минимального влияния вредоносных программ на таких платформах, как VirusTotal.

Чтобы усилить защиту от подобных атак, организациям рекомендуется ограничить внешние коммуникации в Microsoft Teams и внедрить строгие политики внесения в белые списки. Дополнительные меры безопасности включают блокировку определенных доменов на границе сети, отключение JScript и Windows Script Host с помощью групповой политики и AppLocker, а также строгие настройки контроля приложений защитника Windows, чтобы свести к минимуму возможности, которые могут использовать вредоносные программы. Эти шаги направлены на защиту систем от новых методов, используемых в условиях меняющегося ландшафта угроз, особенно в связи с растущим доверием к инструментам совместной работы, таким как Microsoft Teams.

#ParsedReport #CompletenessLow
17-04-2025

Russian organizations attack Backdor, mimicating under VIPNET updates

https://securelist.ru/new-backdoor-mimics-security-software-update/112326/

Report completeness: Low

Threats:
Trojan.win32.loader.gen

Victims:
Large organizations

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1059.001, T1105

IOCs:
File: 4
Hash: 3

Soft:
VIPNET

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный бэкдор нацелен на крупные российские организации через скрытые в них сети Vipnet.LZH архивируется в виде обновлений программного обеспечения. Он использует вредоносный исполняемый файл для загрузки зашифрованной полезной нагрузки, облегчая связь с сервером управления для кражи файлов и развертывания дополнительных вредоносных программ.
-----

В апреле 2025 года расследование кибератаки привело к обнаружению сложного бэкдора, нацеленного на крупные организации в России, особенно в государственном, финансовом и промышленном секторах. Этот бэкдор в первую очередь заражает компьютеры, работающие в сетях Vipnet, которые используются для установления защищенных коммуникаций.

Бэкдор был обнаружен скрытым в архивах с использованием расширения .Файл LZH, имитирующий обновления программного обеспечения для платформы Vipnet. Содержимое этих архивов включало информационный файл (Action.inf), легальный исполняемый файл (lumpdiag.exe) и вредоносный исполняемый файл (msinfo32.exe), а также зашифрованную полезную информацию с переменными именами файлов. В файле Action.inf указано, что при обработке службой обновления Vipnet (ITCSRVUP64.EXE) легитимный исполняемый файл вызывается с помощью команды, которая позволяет запустить вредоносный компонент.

Вредоносный код msinfo32.exe функционирует как загрузчик, извлекая встроенную зашифрованную информацию для загрузки бэкдора в память. Примечательно, что этот бэкдор обладает способностью устанавливать TCP-соединение с сервером управления, что позволяет злоумышленникам красть файлы и развертывать дополнительные вредоносные компоненты. Решения по кибербезопасности, в частности от "Лаборатории Касперского", определили этот бэкдор как Heur: Trojan.win32.loader.gen из-за его поведения и характеристик.

Расследование подчеркивает растущую сложность кибератак, особенно тех, которые организуются APT-группами. Эти злоумышленники используют нетрадиционные методы для проникновения в свои объекты, что требует надежной, многоуровневой стратегии безопасности для защиты от таких сложных угроз. Развертывание многоуровневой архитектуры защиты имеет важное значение для эффективной защиты организаций от подобных атак.

#ParsedReport #CompletenessMedium
17-04-2025

Proton66 Part 2: Compromised WordPress Pages and Malware Campaigns

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/proton66-part-2-compromised-wordpress-pages-and-malware-campaigns/

Report completeness: Medium

Actors/Campaigns:
Mora_001

Threats:
Superblack
Xworm_rat
Strela_stealer
Weaxor
Remcos_rat
Targetcompany

Victims:
Wordpress websites, Android device users, Korean-speaking chat room users, Mozilla thunderbird users, Microsoft outlook users

Industry:
Financial

Geo:
Rus, Germany, French, German, Liechtenstein, Switzerland, Spanish, Luxembourg, Korean, Austria, Korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1574.002, T1027, T1105, T1547.001, T1041, T1486

IOCs:
IP: 6
File: 4
Url: 2
Hash: 12

Soft:
WordPress, Android, Google Play, Mozilla Thunderbird, Microsoft Outlook

Algorithms:
sha256, base64, zip

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование в отношении Proton66 выявило его связи с группой программ-вымогателей SuperBlack, которые использовали взломанные сайты WordPress для перенаправления пользователей Android на фишинговые домены. К числу известных вредоносных программ относятся кампания XWorm, нацеленная на корейских пользователей чата с помощью социальной инженерии, и программа Strela Stealer, которая удаляет учетные данные электронной почты. Кроме того, программа-вымогатель WeaXor, разновидность Mallox, шифрует файлы, требуя выкуп в криптовалюте, что подчеркивает растущую сложность и угрозу, исходящую от этого субъекта.
-----

Расследование вредоносных действий, связанных с Proton66, выявило важные подробности о различных вредоносных кампаниях и методах эксплуатации, используемых хакерами, в частности, связанных с группой вымогателей SuperBlack и связанными с ней организациями, такими как Mora_001. Важным аспектом этого расследования стало то, что взломанные сайты WordPress были нацелены на пользователей Android. В частности, в феврале 2025 года на взломанных страницах были обнаружены скрипты, которые перенаправляли пользователей устройств Android на фишинговые домены, похожие на Google Play Store. хакеры использовали различные соглашения об именовании, чтобы казаться локализованными, создавая домены, такие как us-playmarket.com и playstors-france.com, ориентированные на пользователей, говорящих на разных языках. Скрипты-перенаправители использовали методы обфускации и выполняли проверки, чтобы отфильтровать нецелевых пользователей, что свидетельствует о сложном подходе к уклонению от обнаружения, при котором скрипты, казалось бы, не были обнаружены на VirusTotal.

Кроме того, анализ показал, что в сети Proton66 был общедоступный ZIP-архив, содержащий ресурсы неустановленного хакера, связанные с кампанией, получившей название XWorm. Эта кампания в основном была нацелена на корейскоязычных пользователей чата, используя тактику социальной инженерии для заражения жертв. Цепочка заражения началась с создания файла быстрого доступа, выполняющего команду PowerShell, которая затем запустила сценарий для загрузки библиотеки .NET DLL в кодировке Base64, что привело к загрузке двоичного файла XWorm. Информация, доступная в архиве, указывала на потенциальное использование взломанного законного программного обеспечения для облегчения атаки.

Кроме того, было обнаружено, что вредоносная программа Strela Stealer использовала сервисы хостинга Proton66 в период с января по февраль 2025 года, нацеливаясь на почтовые клиенты, такие как Mozilla Thunderbird и Microsoft Outlook. Strela Stealer извлекает учетные данные электронной почты и участвует в целенаправленных фишинговых кампаниях, которые ведут к определенному серверу управления.

Наконец, было замечено, что программа-вымогатель WeaXor, модифицированная версия Mallox, работает в сети Proton66, шифруя файлы с помощью суффикса ".wex". В записке с требованием выкупа содержался уникальный идентификатор жертвы и требовались 2000 долларов в криптовалюте за расшифровку.

Использование хакерами целого ряда скомпрометированных платформ и сложных методов перенаправления указывает на растущий уровень угроз, что требует принятия строгих защитных мер против диапазонов CIDR, связанных с Proton66, для снижения потенциальных рисков.

#ParsedReport #CompletenessLow
17-04-2025

APT PROFILE EARTH ESTRIES

https://www.cyfirma.com/research/apt-profile-earth-estries-2/

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Cobalt_strike
Hemigate
Ghostspide
Zingdoor
Masol
Snappybe
Demodex_tool
Ghostspider
Deed_rat
Proxylogon_exploit
Lolbin_technique
Psexec_tool
Crowdoor
Portscan_tool
Trillclient

Industry:
Chemical, Military, Ngo, Telco, Aerospace, Government, Transport, Critical_infrastructure, Iot

Geo:
Germany, Thailand, Taiwan, Chinese, Asia, Canada, Singapore, South africa, Indonesia, Afghanistan, Philippines, Malaysia, Pakistan, Apac, Vietnam, India, Middle east, Brazil, America

CVEs:
CVE-2024-20399 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco nx-os (6.2\(2\), 6.2\(2a\), 6.2\(6\), 6.2\(6a\), 6.2\(6b\))

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (<7.0.11, <7.2.3)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (<16.12.10a, <17.3.8a, <17.6.6a, <17.9.4a)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (16.1.1, 16.1.2, 16.1.3, 16.2.1, 16.2.2)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1059.001, T1574.002, T1070.004, T1071.001, T1071.004, T1566.001, T1041

Soft:
Microsoft Exchange, Ivanti, PSEXEC, curl

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группа Earth Estries нацелена на критически важную инфраструктуру с помощью таких кампаний, как "Бета-версия кампании" и "Альфа-версия кампании", используя вредоносные программы, такие как DEMODEX и GHOSTSPIDER. Они используют уязвимости (например, Microsoft Exchange, CVE-2023-46805) для получения начального доступа и используют такие методы, как LOLBINS, для выполнения, обеспечивая устойчивость к пользовательским бэкдорам и руткитам. Их операции включают в себя сложные боковые перемещения с использованием PsExec и WMIC, а также зашифрованные каналы C&C для передачи данных с помощью таких инструментов, как TrillClient.
-----

Китайская APT-группа Earth Estries известна своими передовыми разработками в области кибершпионажа, направленными на критически важные объекты инфраструктуры и государственные учреждения по всему миру. Их недавние кампании продемонстрировали сложный подход к работе с различными секторами, в частности, благодаря постоянной инициативе, ориентированной на телекоммуникации, которая получила название "Бета-версия кампании". Эта кампания оказала влияние на телекоммуникационных провайдеров по всей Азии, включая такие страны, как Тайвань, Таиланд и Индия, а также в Соединенных Штатах. В число основных вредоносных программ, используемых в этих кампаниях, входят DEMODEX, GHOSTSPIDER и SNAPPYBEE, причем сообщения подтверждают нарушения, связанные с крупными операторами связи в США.

В дополнение к работе с телекоммуникационными компаниями, Earth Estries также сосредоточилась на организациях, связанных с правительством, в Азиатско-Тихоокеанском регионе, США, Южной Африке и на Ближнем Востоке, в рамках так называемой "кампании Альфа". Это включает в себя прямые атаки на правительственные учреждения и консалтинговые фирмы, которые сотрудничают с правительством США и военным сектором. В ходе этих операций также использовались такие инструменты атаки, как DEMODEX и Cobalt Strike, которые способствуют широкомасштабной компрометации организаций из различных секторов, включая технологии, НПО и транспорт.

Earth Estries использует ряд методов начального доступа, которые в основном направлены на использование известных уязвимостей в общедоступных приложениях. К наиболее заметным уязвимостям относятся сервер Microsoft Exchange Server (связанный с уязвимостями ProxyLogon), Ivanti Connect Secure (CVE-2023-46805 с оценкой 8,2 и CVE-2024-21887 с оценкой 9,1), FortiClient EMS (CVE-2023-48788 с оценкой CVSS 9,8) и брандмауэр Sophos (CVE-2022-3236, также набрав 9,8 балла).

Оказавшись внутри сети, группа использует различные методы выполнения и сохранения данных, в частности, полагаясь на законные двоичные файлы Windows (LOLBINS), такие как PSEXEC и WMIC, а также сценарии PowerShell, которые могут обойти методы обнаружения, такие как AMSI. Их инструментарий включает в себя пользовательские бэкдоры, такие как GHOSTSPIDER и MASOL RAT, а также руткиты, такие как DEMODEX, для поддержания долгосрочного доступа. Методы обхода защиты являются сложными и включают операции с памятью, зашифрованные каналы управления (C&C) и очистку артефактов вредоносного ПО после выполнения операций.

Для горизонтального перемещения внутри сетей Earth Estries использует такие инструменты, как PsExec и WMIC, которые облегчают картографирование сети и перемещение. Инфраструктура C&C сложна и может управляться отдельными командами, часто с использованием многоступенчатых прокси-серверов и общедоступных служб обмена файлами для связи и фильтрации данных. Эксфильтрация осуществляется с помощью таких программ, как TrillClient, которые дополняются утилитами, помогающими архивировать и загружать данные на внешние файлообменные платформы. В целом, тактика, применяемая Earth Estries, демонстрирует высокоорганизованного, находчивого хакера, владеющего надежным методом проведения масштабных киберопераций.

#ParsedReport #CompletenessLow
17-04-2025

Unmasking the new XorDDoS controller and infrastructure

https://blog.talosintelligence.com/unmasking-the-new-xorddos-controller-and-infrastructure/

Report completeness: Low

Threats:
Xorddos

Geo:
Japan, Israel, Brazil, Turkey, Ukraine, France, Spain, United kingdom, Chinese, Netherlands, Korea, Taiwan, India, Australia, Thailand, Singapore, Switzerland, Finland, Germany, Venezuela, Arab emirates, Argentina, Canada, Italy, United arab emirates, Saudi arabia, Paraguay, China

ChatGPT TTPs:
do not use without manual check
T1498, T1078, T1105, T1059.004

IOCs:
Hash: 2
Domain: 3
IP: 171

Soft:
linux, Docker

Algorithms:
xor

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/04/new\_XorDDoS\_controller\_and\_infrastructure.txt

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, code: 2, windows: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XorDDoS, вредоносная программа для DDoS-атак, управляемая китайскоязычными пользователями, нацелена на компьютеры Linux и среды Docker, используя для доступа перебор SSH. Ее последняя "VIP-версия" отличается улучшенным управлением командами и зашифрованными соединениями, а также методами постоянной установки, что усложняет усилия по обнаружению.
-----

Компания Cisco Talos сообщила о продолжающейся активности, связанной с XorDDoS, вредоносным ПО с распределенным отказом в обслуживании (DDoS), распространение которого наблюдалось по всему миру в период с ноября 2023 по февраль 2025 года. Примерно 70% атак с использованием XorDDoS были нацелены на системы в Соединенных Штатах, что свидетельствует о значительной географической концентрации. Предполагается, что вредоносная программа управляется лицами, говорящими по-китайски, на что указывают языковые настройки ее многоуровневого контроллера и инструментов разработки. Последняя версия, называемая "VIP-версией", позволяет создавать более сложную сеть DDoS-ботов и управлять ею.

XorDDoS специально нацелен на компьютеры с Linux, превращая их в "зомби-ботов", способных совершать скоординированные атаки. Троян был впервые обнаружен в 2014 году, а в 2015 году был обнаружен субконтроллер. Его распространенность возросла с 2020 по 2023 год, что объясняется увеличением количества вредоносных DNS-запросов, связанных с его командно-контрольной инфраструктурой (C2). Вредоносная программа использует SSH-атаки для получения доступа к устройствам Linux, используя вредоносный сценарий оболочки, который систематически использует различные комбинации учетных данных root. После успешного выполнения XorDDoS устанавливает постоянство путем установки сценариев инициализации и cron-заданий, чтобы обеспечить их выполнение при запуске.

Вредоносная программа продолжает использовать те же механизмы дешифрования, используя фиксированный ключ XOR для расшифровки параметров конфигурации. Примечательно, что анализ, проведенный Talos, показал, что XorDDoS может не только скомпрометировать традиционные серверы Linux, но и нацелен на среды Docker. За наблюдаемый период времени около 50% скомпрометированных систем были расположены в Соединенных Штатах, в то время как сообщения об атаках поступали из нескольких стран по всему миру.

Кроме того, компания Talos определила улучшения в операционной системе XorDDoS, внедрив новый центральный контроллер, предназначенный для управления несколькими субконтроллерами. Это позволяет упростить выполнение команд DDoS на различных зараженных компьютерах. Новый контроллер обладает расширенными возможностями привязки функций контроллера и предоставляет киберпреступникам инструменты для более эффективной координации во время атак. В нем используется функция внедрения DLL-файлов в контроллеры XorDDoS для управления операциями.

Анализ трафика, проведенный Talos, показал, что троянец XorDDoS поддерживает активное соединение со своей инфраструктурой C2, используя зашифрованный обмен данными для проверки и выполнения команд. Целостность установленного соединения проверяется с помощью изменений заголовка CRC, которые служат для базовой аутентификации клиент-сервер. Такое систематическое поведение указывает на преднамеренные усилия хакеров по совершенствованию своей тактики, гарантирующей устойчивость их операций к обнаружению и вмешательству.

Таким образом, разработка и распространение XorDDoS представляют собой постоянную проблему в борьбе с киберпреступностью, обусловленную постоянными инвестициями операторов в свои инструменты и инфраструктуру.

#ParsedReport #CompletenessLow
17-04-2025

Inside the Attack: The Javascript Code Behind Credit Card Theft

https://labs.yarix.com/2025/04/inside-the-attack-the-javascript-code-behind-credit-card-theft/

Report completeness: Low

Actors/Campaigns:
Magecart

Threats:
Chameleon

Industry:
E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1566.002

IOCs:
File: 3

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что JavaScript-скрипт, предназначенный для веб-скимминга, похищал данные кредитных карт во время транзакций электронной коммерции. Злоумышленники получили доступ с помощью вредоносного ПО infostealer, загрузили веб-оболочку на PHP для удаленного управления и внедрили вредоносный код в базу данных для постоянного выполнения. При эксфильтрации данных использовался объект Image в JavaScript для отправки конфиденциальной информации на сервер, контролируемый злоумышленником, с использованием методов обфускации, позволяющих избежать обнаружения.
-----

Анализ JavaScript-скрипта, обнаруженного во время реагирования на инцидент, показал, что он предназначен для кражи данных кредитных карт у пользователей во время онлайн-транзакций на сайте электронной коммерции. Этот вредоносный скрипт относится к категории атак "веб-скимминга" или "Magecart", при которых злоумышленники внедряют вредоносный код в скомпрометированные платформы электронной коммерции для перехвата конфиденциальной платежной информации, вводимой пользователями при оформлении заказа. Далее в статье анализируются методы обфускации кода, позволяющие обойти меры безопасности, и методы, используемые для передачи данных кредитных карт на удаленные серверы, контролируемые злоумышленниками.

Злоумышленники получили первоначальный доступ к серверной части сайта, похитив учетные данные с помощью вредоносной программы infostealer, которая предназначена для сбора конфиденциальных данных, таких как пароли и файлы cookie для аутентификации, с зараженных компьютеров. Получив учетные данные сервера, злоумышленники использовали эти привилегии для загрузки вредоносного PHP-скрипта на сервер. Этот PHP-файл функционирует как веб-оболочка, обеспечивая полный удаленный контроль над сервером и сохраняя работоспособность в системе, даже если исходные учетные данные будут отозваны. Реализуя эту веб-оболочку, злоумышленник обходит традиционные пути доступа к серверной части, позволяя неограниченно манипулировать таблицами базы данных.

Критический прием, использованный злоумышленником, заключался во внедрении скрытого вредоносного кода непосредственно в строку базы данных, что называется "загрязнением базы данных". Этот метод позволял злоумышленнику изменять поведение сайта и обеспечивать постоянное выполнение своего кода при каждом обращении к скомпрометированной строке базы данных. Внедренный код содержит поддельный "тег imager", который использует типичное поведение HTML-тегов, таких как загрузка изображений, для выполнения вредоносных действий, включая вызов сценариев или запросов к серверу, контролируемому атакой.

Расследование включает в себя статический анализ захваченного вредоносного скрипта для расшифровки используемых стратегий атаки, что помогает разработать эффективные подходы к устранению последствий. Код включает в себя различные методы обфускации наряду с основными функциями, которые обрабатывают ввод данных кредитной карты, проверку подлинности и идентификацию типа, что в конечном итоге облегчает фильтрацию конфиденциальной информации. Данные, включая адреса электронной почты, номера банковских карт, CVC-коды и даты истечения срока действия, упаковываются в объект, получивший название "structUserInfo", и впоследствии преобразуются в строку.

Фильтрация выполняется с использованием объекта Image в JavaScript и подключений к веб-сокетам. Вредоносный скрипт генерирует новый объект Image, который обычно содержит ссылки на изображения, но в данном случае используется для создания запросов к серверу, контролируемому злоумышленником. Скрипт создает URL-адрес запроса, используя метод, который считывает данные из памяти браузера для получения конечной точки сервера, добавляя к URL-адресу случайное число, чтобы предотвратить кэширование запроса. Такая тактика гарантирует, что результатом выполнения каждого скрипта будет уникальный запрос к удаленному серверу, что повышает вероятность успешной фильтрации данных и усложняет усилия по обнаружению.

Initial Access Brokers Report

#ParsedReport #CompletenessLow
17-04-2025

IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia

https://securelist.com/mysterysnail-new-version/116226/

Report completeness: Low

Actors/Campaigns:
Ironhusky

Threats:
Mysterysnail
Dll_sideloading_technique
Mysterymonosnail

Victims:
Government organizations

Industry:
Government

Geo:
Russia, Mongolia

CVEs:
CVE-2021-40449 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19086)
- microsoft windows 10 1607 (<10.0.14393.4704)
- microsoft windows 10 1809 (<10.0.17763.2237)
- microsoft windows 10 1909 (<10.0.18363.1854)
- microsoft windows 10 2004 (<10.0.19041.1288)
have more...

ChatGPT TTPs:
do not use without manual check
T1203, T1059, T1036, T1071.001, T1027, T1574.002, T1569, T1027.002, T1055.012

IOCs:
Domain: 2
File: 6

Soft:
Windows Explorer, Microsoft Word

Algorithms:
rc4, zip, xor

Platforms:
x86

Links:
https://github.com/nwtgck/piping-server